Dans une décision en date du 04 octobre 2024 (C-621/22), la Cour de justice de l’Union européenne (CJUE) a apporté une clarification majeure sur l’interprétation de l’article 6 du Règlement Général sur la Protection des Données (RGPD). Elle a jugé qu’un intérêt commercial pouvait être reconnu comme un intérêt légitime pour justifier le traitement de données personnelles, sous réserve de conditions strictes.
🟠 1 – Contexte de l’affaire
La KNLTB, fédération néerlandaise de tennis, avait communiqué, moyennant rémunération, des données personnelles de ses membres à deux sponsors commerciaux sans le consentement préalable de ces derniers. Ces sponsors ont ensuite utilisé ces informations à des fins de prospection commerciale.
L’autorité néerlandaise de protection des données, l’Autoriteit Persoonsgegevens, a infligé une amende à la KNLTB, estimant que cette pratique violait le RGPD.
La fédération a contesté cette décision, arguant que la communication des données reposait sur son intérêt légitime.
🟠 2 – Décision de la CJUE : l’intérêt commercial, un intérêt légitime sous conditions
L’article 6 du RGPD prévoit que le traitement des données personnelles est licite, même sans consentement lorsqu’il repose sur un intérêt légitime, à condition qu’il ne soit pas contraire à la loi et qu’il ne porte pas atteinte aux droits fondamentaux des individus.
La CJUE a ainsi confirmé qu’un objectif purement commercial pouvait constituer un intérêt légitime. Toutefois, cette reconnaissance repose sur plusieurs critères stricts :
- L’intérêt commercial invoqué doit être indispensable à la réalisation de l’objectif poursuivi.
- Il ne doit pas exister d’alternative moins intrusive pour atteindre ce même objectif.
- Le traitement des données ne doit pas porter une atteinte disproportionnée aux droits et libertés fondamentaux des personnes concernées.
Ainsi, la CJUE a souligné que la communication de données à des fins de prospection commerciale devait être effectuée avec prudence, en tenant compte des attentes raisonnables des membres de la fédération et de l’impact potentiel sur leur vie privée.
🟠 3 – Un équilibre à respecter entre intérêts économiques et protection des données
Si la reconnaissance d’un intérêt commercial comme base légale ouvre des perspectives aux entreprises, elle ne leur offre pas pour autant un passe-droit. La CJUE insiste sur la nécessité de trouver un équilibre entre les intérêts économiques des entreprises et la protection des données des individus.
Les entreprises doivent donc procéder à une analyse rigoureuse, en tenant compte notamment :
- Des attentes raisonnables des personnes concernées: un utilisateur peut-il raisonnablement s’attendre à ce que ses données soient utilisées à cette fin ?
- De l’impact du traitement sur la vie privée: le traitement des données crée-t-il un risque excessif pour la personne concernée ?
- Des mesures mises en place pour protéger ces données: l’entreprise a-t-elle prévu des mécanismes de sécurisation et de limitation de l’accès aux données ?
🟠 4 – La position de la CNIL sur l’intérêt légitime
En France, la CNIL a déjà admis que l’intérêt légitime pouvait justifier certains traitements de données, notamment lorsqu’il faut :
- Garantir la sécurité du réseau et des informations,
- Lutter contre la fraude, afin de prévenir les activités malveillantes.
Toutefois, la CNIL reste stricte sur certaines pratiques, notamment concernant la prospection commerciale par e-mail qui reste soumise au consentement explicite des utilisateurs, sauf en cas de relation commerciale préexistante.
🟠 5 – Quelles conséquences pour les entreprises ?
Cette décision de la CJUE pourrait avoir un impact significatif pour les entreprises qui traitent des données personnelles. Elle leur permet d’invoquer plus facilement l’intérêt légitime pour justifier certains traitements, sans systématiquement recourir au consentement.
Toutefois, cette nouvelle approche implique une analyse au cas par cas, exigeant de démontrer que :
- L’intérêt commercial poursuivi est légitime et proportionné,
- Les droits des individus sont respectés,
- Des mesures de protection suffisantes sont mises en place.
En l’absence de ces garanties, un traitement fondé sur l’intérêt légitime pourrait être jugé non conforme au RGPD, exposant l’entreprise à des sanctions.
🟠 Conclusion
Avec cette décision, la CJUE ouvre la porte à une reconnaissance plus large de l’intérêt commercial comme base légale pour le traitement des données. Toutefois, les entreprises devront redoubler de prudence en évaluant les risques et en s’assurant que leurs pratiques respectent les droits des individus.
Dans un contexte où les autorités de protection des données, telles que la CNIL, restent particulièrement vigilantes, cette évolution souligne l’importance d’une gestion rigoureuse et transparente des données personnelles.
Pour en savoir plus / sources : https://www.cnil.fr/fr/les-bases-legales/interet-legitime https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique |
L’intelligence artificielle au service de la Justice : une stratégie opérationnelle et éthique Le 23 juin 2025, le rapport « L’IA au service de la Justice : stratégie et solutions opérationnelles » a été remis au Garde des sceaux, Gérald Darmanin, par Haffide Boulakras, directeur adjoint de l’École nationale de la magistrature (ENM). Ce document marque une étape décisive dans la transformation numérique du système judiciaire français.
Loi anti-narcotrafic du 13 juin 2025 : une ambition freinée par la censure constitutionnelle. Adoptée dans un contexte d’urgence face à l’essor du narcotrafic en France, la loi du 13 juin 2025 visait à doter les autorités judiciaires et administratives de nouveaux outils pour lutter contre les réseaux criminels(I). Mais, si le texte a été promulgué, il n’a pas échappé au contrôle du Conseil constitutionnel, qui a censuré six de ses dispositions, dont les articles 5 et 15 (II).
L’intelligence artificielle (IA) transforme notre quotidien, mais son développement repose souvent sur l’exploitation de données personnelles. Dans ce contexte, la CNIL a publié, le 19 juin 2025, de nouvelles recommandations pour encadrer l’usage de la base légale de l’« intérêt légitime » pour le développement de systèmes d’intelligence artificielle. Ces recommandations visent à concilier innovation technologique et respect des droits fondamentaux. Ainsi, deux nouvelles fiches pratiques ont été publiées sur l'intelligence artificielle. La première précise les conditions d'usage de la base légale de l'intérêt légitime pour développer un système d'IA (I) et la seconde traite plus spécifiquement de la collecte de données via "moissonnage" ou "web scraping (II)
Le European Accessibility Act (EAA) – ou directive européenne sur l'accessibilité – entre en application le 28 juin 2025. Ce texte vise à renforcer l’égalité d’accès aux biens et services pour les personnes en situation de handicap, en imposant des obligations nouvelles aux entreprises privées. Il s’agit d’un changement profond dans la manière de concevoir et de fournir les produits et services numériques sur le marché européen.